La nuova frontiera delle truffe digitali prende di mira lo Spid, il Sistema Pubblico di Identità Digitale, strumento indispensabile per accedere ai servizi online della pubblica amministrazione.
“L’Inps invia solo sms senza link cliccabili”. Il messaggio dell’Istituto di previdenza, “al fine di garantire la sicurezza dei dati personali dei cittadini e la prevenzione di tentativi di phishing e frodi informatiche”, si è reso necessario poiché sempre più spesso truffatori inviano sms facendo apparire come mittente l’Inps stesso per rubare informazioni personali sensibili in modo da creare un falso Spid, poi usato per compiere illeciti.
A intervenire sull’argomento con una nota anche Cert-AgID, la struttura dell’Agenzia per l’Italia digitale che si occupa di sicurezza informatica nella pubblica amministrazione, che ha riscontrato un notevole incremento nelle truffe che sfruttano il nome dell’Istituto nazionale della previdenza sociale per rubare dati personali.
Come funziona la truffa
Tutto parte da un sms o una email apparentemente inviata dall’Inps. Grazie a tecniche di spoofing, i truffatori riescono a far comparire “INPS” come mittente del messaggio, rendendo l’inganno ancora più credibile. Il messaggio invita l’utente a cliccare su un link per aggiornare i propri dati: il sito su cui si viene reindirizzati è una copia fedele di quello ufficiale, ma è in realtà un portale truffaldino.
I dati richiesti dal sito Inps falso
Le richieste possono includere: dati anagrafici (nome, cognome, indirizzo, ecc.), codice IBAN, documenti d’identità (copia fronte/retro di carta d’Identità, tessera sanitaria, patente di guida), buste paga, selfie e video-riconoscimento.
Una volta cliccato sul tasto ‘Conferma’ o ‘Avanti’, i criminali entrano definitivamente in possesso dei dati. In alcuni casi, viene simulato un errore e richiesto nuovamente l’upload dei documenti, in modo da garantire ai truffatori un maggior numero di selfie e copie di documenti per massimizzare le probabilità di ottenere file adeguati e in buona definizione grafica.
Cosa possono fare i truffatori con i dati
I dati rubati possono venire utilizzati per diverse attività illecite, tra cui:
furto d’identità digitale (Spid). Questo permette ai criminali di accedere a numerosi servizi online della Pubblica Amministrazione a nome del cittadino truffato;
modifica Iban e deviazione di pagamenti in modo da dirottare somme di denaro su conti correnti da loro controllati;
vendita dei dati nel dark web, aumentando il rischio di ulteriori truffe a danno della vittima;
utilizzo per altre frodi come, ad esempio, la sottoscrizione di contratti fraudolenti.
Cosa fare se si è stati truffati
Qualora si siano caricate le informazioni e i documenti personali e si sia fatto click sui pulsanti “Conferma” o “Avanti”, è bene intraprendere le seguenti misure di mitigazione del rischio:
sporgere denuncia alla Polizia Postale per furto di dati personali recandosi al più presto presso un ufficio territoriale della Polizia Postale. È bene portare con se tutta la documentazione utile (SMS ricevuto, documenti forniti, ecc.);
segnalazione online alla Polizia postale;
monitorare i conti correnti bancari, in modo da individuare precocemente la mancata ricezione degli emolumenti di cui si ha diritto, sincerandosi quindi che l’IBAN di ricezione non sia stato modificato senza consenso.
